Tu empresa tiene alarma, cámaras de seguridad y llave para entrar. Pero ¿alguien ha comprobado alguna vez si la puerta trasera cierra bien?
Eso es, exactamente, un pentesting. Un equipo de profesionales intenta entrar en tus sistemas igual que lo haría un ciberdelincuente. No para hacerte daño, sino para encontrar los agujeros antes de que los encuentre otro.
El problema es que los agujeros no están donde crees
Hace poco trabajamos con una empresa que tenía su informática «controlada». Antivirus, firewall, copias de seguridad. Todo en orden, sobre el papel.
Cuando hicimos el pentesting encontramos el punto de entrada por donde habrían entrado los atacantes: el sistema de fichaje de los empleados. Ese cacharrito de toda la vida, con su lector de tarjeta, que nadie toca desde hace diez años. Estaba conectado a internet. Y tenía una vulnerabilidad que llevaba años ahí, esperando.
Desde ese sistema de fichaje, saltamos a la red interna. Desde la red interna, exploramos el resto. Y encontramos un servidor antiguo de copias de seguridad que nadie recordaba que seguía encendido. Ese servidor habría sido el objetivo: los atacantes lo habrían cifrado y pedido rescate.
La empresa no lo sabía. Nadie lo sabía. Porque nadie había mirado.
Lo que nadie te cuenta sobre la ciberseguridad
Los ataques reales no entran por donde tú vigilas. Entran por la impresora del pasillo. Por la Smart TV de la sala de reuniones. Por una cámara de seguridad con contraseña de fábrica. Por un ordenador que creías apagado y lleva meses encendido en un almacén.
Todo lo que en tu empresa tiene cable de red o conexión WiFi es una puerta potencial. Y en la mayoría de empresas medianas, nadie ha contado cuántas puertas hay.
¿Cuándo tiene sentido hacerlo?
Antes de fin de año es un buen momento por tres razones concretas.
Primero, el cuarto trimestre es temporada alta de ataques. Los ciberdelincuentes también saben que las empresas están ocupadas cerrando ejercicio y bajan la guardia.
Segundo, si trabajas con la Administración Pública o con clientes grandes, cada vez más contratos exigen evidencia de que has revisado tu seguridad. Un informe de pentesting lo demuestra.
Tercero, es deducible y planificable antes de cerrar el año fiscal.
Qué obtienes al final
No un informe técnico incomprensible. Un documento que te dice, en lenguaje normal, qué encontramos, por dónde podría haber entrado alguien, qué riesgo real supone y qué hay que arreglar primero.
Sin alarmismo. Con prioridades claras.
***
¿Sabes exactamente cuántos dispositivos de tu empresa están conectados a internet en este momento? Si la respuesta es «más o menos» o «creo que sí», ya tienes la respuesta sobre si necesitas un pentesting.